Site icon BGA Cyber Security – Siber Güvenlik Çözümleri

Uç Nokta (EndPoint) Güvenlik İzleme Hizmeti

Uç nokta endpoint güvenliği carbon black

Endpoint Detection and Response (EDR) güvenliği gelişmekte olan bir teknolojidir. Terim, şüpheli etkinlikleri ve sunucu ve uç noktalar üzerindeki sorunları tespit etmeye, araştırmaya ve azaltmaya odaklanan bir araç ve çözüm kategorisini tanımlar..

Uç nokta endpoint güvenliği carbon black

EDR yani uç nokta güvenlik izleme çözümleri, uç noktalarda daha zengin davranış temelli anormal durum tespiti ve görünürlük için geleneksel imza tabanlı teknolojileri desteklemektedir. Katmanlı network ve güvenlik yapılarının kurumları yeteri kadar korumadığı artık tüm firmalar tarafından anlaşılmış durumdadır. Gelişmiş kalıcı tehditler (APT) ve özelleştirilmiş hedefe yönelik kötü amaçlı yazılım saldırısı araçları, geleneksel imza tabanlı antivirüs çözümlerini bypass edebiliyor.

Uç Nokta (EndPoint) Güvenlik İzleme Hizmeti

Gerekli olan güvenlik önlemlerini aldıktan sonra, firmaların yoğunlaşmaları gereken alan çalışanları için “Farkındalık” olmaya başladı. Eğer kurum içi ağınızda (network) neler olup bittiğini göremiyorsanız, “Göremediğiniz noktaları yönetemezsiniz” ve başınıza gelecek olan tehlikeleri de çok geç olduğunda fark edebilirsiniz.

Son kullanıcı ağınızda ve sunucularınızda, bir saldırganın yapabileceği davranışları tanımlayıp, bu tanımları alarm haline getirebileceğiniz bir yazılım mevcut: Carbon Black Response

Aşağıdaki soruların en az birine evet diyorsanız Carbon Black Response ürününe ihtiyacınız var demektir!

  1. SOC ekibiniz var mı?
  2. Incident Response (IR) çalışmalarınızı kendi bünyenizde mi yürütüyorsunuz?
  3. SOC ekibiniz için veya IR çalışmalarınız için Bulut’ta (Cloud) veya Veri Merkezinizde (Data Center) bir araç arayışınız var mı?
  4. Güvenlik ihlalleri olduğunda kök sebebini (root cause) bulmak için çok mu uğraşıyorsunuz?
  5. Güvenlik ihlali durumunda, son kullanıcı cihazlarınızı uzaktan veya ilgili networkten izole edip incelemek ister misiniz?

Sınırsız Ölçek

Bir kuruluş yüz binlerce uç noktaya sahip ve denetliyor olabilir, ancak bir saldırganın yalnızca bu uç noktalardan herhangi birini ihlal etmesi sisteme sızması için yeterli olacaktır. Gelişmiş atakları günümüz güvenlik çözümleri ile maalesef ki %100 engelleyemiyoruz. Saldırganı fark etmek ve kurum ağınızda ne yaptığını görebilmek için tüm kuruluşunuz da ölçeklendirebileceğiniz bir çözüme ihtiyacınız var.

Filtresiz Görünürlük

Genellikle 78 saat süren soruşturmalar, 15 dakika gibi kısa bir sürede tamamlanabilir. Cb Response, son kullanıcı cihazlarında meydana gelen olaylar hakkında kapsamlı bilgi toplar. Olayların yanıtları ve cihazda meydana gelen değişiklikler (örneğin; registry değişiklikleri, çalıştırılan komutlar, indirilen dosyalar gibi…) konusunda net bir fikir verir.

Proaktif Olun

Ortalama bir güvenlik ihlalin keşfedilmesi 150 gün kadar sürmektedir. Hatta saldırganların 1-2 sene işlerini yapmadan önce bekledikleri müşteri deneyimlerine de sahibiz. Log ve alarm mekanizmaları düzgün kurgulanmadığında yeterli ve deneyimli personel olmadığında saldırganın içeride olduğunu fark etmek güçleştiği gibi neler olduğunu bulmak da samanlıkta iğne aramak gibi zor bir hale gelebilir. CB Response ile başınıza bir siber olay geldikten sonra ne olayı araştırabileceğiniz gibi, proaktif olup daha önce öğrenilmiş ihlal göstergelerini (IoC – Indicatorof Compromised) kurgulayarak saldırganın işini zorlaştırabilirsiniz.

Gerçek Zamanlı Yanıt

Bir saldırgan ortamınızı bir saat ya da daha kısa bir süre içinde tehlikeye atabilir. Cb Response, size gerçek zamanlı olarak yanıt verme ve çözme, aktif saldırıları durdurma ve hasarı hızlı bir şekilde tamir etme gücü verir.

Örnek CB Response Sorguları

Eğer CB Response kullanıcısı iseniz aşağıdakisorgu örneklerinden yararlanabilirsiniz. İsterseniz Mitre’nin Att@ck framework ünübaz alarak watchlist leri kurgulayabilirsiniz.

Newly installed application

q=-path: C:\windows\*&cb.q.regmod= registry\machine\ software\microsoft\ windows\currentversion \uninstall&cb.urlver=1

Netconns to .cn or .ru

q=domain:.cn or domain:.ru&cb.urlver=1

New unsigned binaries

q=cb.urlver=1&rows=10&facet=false&cb.query_source=ui&start=0&q=digsig_result:unsigned

USB drive usage

q=regmod: registry\machine\ system\currentcontrolset\ control\deviceclasses\ {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} \* or regmod: registry\machine\ currentcontrolset\control\ deviceclasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b} \ *&cb.urlver=1

Word Documents launching .vbs scripts

parent_name: winword.exe AND process_name:cmd.exe AND childproc_name:wscript.exe

nmap execution

process_name:nmap.exe

Unsigned file with network connections

netconn_count:[1 TO *] digsig_result:”Unsigned”

Watchlist oluşturmak tecrübe ve bilgi gereksiminden daha fazlasına ihtiyacınız varsa ya da ürünün yeteneklerini görmeki sterseniz (PoC), ürünü satın aldınız fakat yönetmekte zorluk yaşıyorsanız bizimle iletişime geçerek detaylı bilgi veya sağdaki formu doldurarak fiyat teklifi alabilirsiniz.

Exit mobile version